Каждое архитектурное решение в TubeVai начинается с требования безопасности. От сквозного шифрования соединений до распределённой защиты инфраструктуры — безопасность заложена в основу, а не добавлена впоследствии.
TubeVai спроектирован с нуля как платформа с приоритетом безопасности. Каждый сервис, каждый конвейер данных и каждый пользовательский интерфейс созданы с учётом моделирования угроз как ключевого входного параметра проектирования, а не соображения после развёртывания.
Наша архитектура безопасности последовательно придерживается принципа наименьших привилегий. Каждый компонент системы работает с минимальными разрешениями, необходимыми для выполнения своей функции. Горизонтальное перемещение между сервисами ограничено по умолчанию, а все межсервисные коммуникации проходят аутентификацию и шифруются на транспортном уровне.
Регулярные внутренние проверки безопасности, автоматическое сканирование уязвимостей и непрерывный мониторинг зависимостей обеспечивают минимальность поверхности атаки, а известные уязвимости устраняются по ускоренному графику исправлений.
Каждый сервис и роль пользователя работают только с минимально необходимыми разрешениями. Ни один компонент не может получить доступ к ресурсам за пределами своей области.
На сетевом, прикладном и уровнях данных применяются несколько независимых уровней безопасности. Отказ одного средства контроля не приводит к полному взлому.
Автоматические сканеры непрерывно проверяют зависимости, конфигурации и код на наличие известных CVE и неправильных конфигураций — критические находки запускают немедленные рабочие процессы устранения.
Все новые функции и изменения системы проходят структурированное моделирование угроз перед развёртыванием — векторы атак выявляются и нейтрализуются на этапе проектирования.
Наша инфраструктура защищена от полного спектра современных векторов атак — от объёмных сетевых атак до эксплуатации на уровне приложений и внутренних угроз.
Многоуровневая защита от DDoS поглощает и фильтрует объёмные атаки на сетевом периметре до того, как они достигают инфраструктуры приложений, сохраняя доступность платформы в условиях продолжительных атак.
Постоянно обновляемый WAF проверяет весь входящий HTTP/S-трафик, блокируя SQL-инъекции, межсайтовый скриптинг, обход пути и другие шаблоны атак из OWASP Top 10 в режиме реального времени.
Строгая сетевая сегментация изолирует производственную, тестовую и информационную инфраструктуру в отдельные зоны безопасности. Горизонтальное перемещение между зонами требует явной аутентифицированной авторизации.
Автоматизированные системы обнаружения вторжений круглосуточно отслеживают сетевой трафик и поведение системы, запуская автоматические рабочие процессы реагирования на инциденты при выявлении аномальных паттернов.
Все административные действия, события доступа и изменения конфигурации записываются в журналы аудита только для добавления с защитой от подделки, хранящиеся в изолированной инфраструктуре отдельно от производственных систем.
Географически распределённые резервные копии с проверенными процедурами восстановления обеспечивают возможность восстановления данных и возобновления сервисов в рамках определённых целевых значений RTO и RPO после любого сбоя.
Никакие пользовательские данные никогда не хранятся, не передаются и не обрабатываются в открытом виде. Шифрование является обязательным и не подлежит обсуждению для каждого пути передачи данных на платформе.
Все соединения между клиентами и серверами TubeVai защищены протоколом TLS 1.3 — актуальным отраслевым золотым стандартом транспортной безопасности. Устаревшие версии протоколов отключены. HTTP-соединения автоматически перенаправляются на HTTPS. HSTS применяется с предварительной загрузкой.
Все данные, хранящиеся в инфраструктуре TubeVai, шифруются в состоянии покоя с помощью AES-256. Тома баз данных, архивы резервных копий и хранилища журналов шифруются уникальными ключами для каждого тома. Управление ключами следует лучшим отраслевым практикам с аппаратными хранилищами ключей.
Межсервисное взаимодействие в инфраструктуре TubeVai использует взаимную аутентификацию TLS. Каждое внутреннее соединение одновременно шифруется и аутентифицируется, что исключает возможность для одного сервиса выдавать себя за другой или перехватывать внутренний трафик.
Все потоки рыночных данных в реальном времени, доставляемые пользователям через WebSocket-соединения, передаются по WSS (защищённому WebSocket), обеспечивая ту же защиту TLS 1.3, что и стандартные HTTPS-соединения.
TubeVai применяет строгую аутентификацию и авторизацию в каждой точке доступа — для пользователей, API-клиентов и внутренних систем.
Все учётные записи пользователей поддерживают многофакторную аутентификацию. Чувствительные действия с учётной записью требуют повторной аутентификации независимо от состояния сессии.
Сессии краткосрочны с автоматическим истечением, снятием цифровых отпечатков устройств и обнаружением аномалий. Мониторинг параллельных сессий отмечает необычные паттерны доступа для немедленного рассмотрения.
Все конечные точки аутентификации и поверхности API защищены интеллектуальным ограничением частоты запросов, которое в режиме реального времени выявляет и блокирует атаки перебором, подстановку учётных данных и автоматические злоупотребления.
Пароли никогда не хранятся в открытом виде или в обратимой форме. Мы используем стандартные отраслевые адаптивные алгоритмы хэширования с индивидуальной солью для каждого пользователя. Мониторинг утечки учётных данных проактивно обнаруживает скомпрометированные данные.
Подозрительные попытки входа из неожиданных регионов запускают дополнительные этапы проверки. Значительные изменения местоположения в короткие промежутки времени отмечаются и проверяются перед предоставлением доступа.
Повторные неудачные попытки аутентификации запускают автоматическую временную блокировку с экспоненциальной задержкой. Для административных учётных записей применяются более строгие пороги блокировки и обязательная ручная проверка.
TubeVai приветствует ответственное раскрытие уязвимостей безопасности от исследовательского сообщества. Мы убеждены, что сотрудничество с независимыми исследователями безопасности делает нашу платформу надёжнее для всех пользователей.
Если вы считаете, что обнаружили уязвимость безопасности в платформе, инфраструктуре TubeVai или связанных системах, мы призываем вас напрямую связаться с нашей командой по безопасности. Мы обязуемся оперативно подтверждать все обоснованные сообщения, прозрачно общаться на протяжении всего расследования и без промедления принимать соответствующие меры по устранению.
Мы просим исследователей действовать добросовестно — избегать доступа к пользовательским данным, нарушения работы платформы или публичного раскрытия до того, как у нас будет разумная возможность расследовать и устранить сообщённую проблему.
В настоящее время мы не проводим официальную программу bug bounty, однако признаём и ценим вклад исследователей, ответственно раскрывающих обоснованные находки в области безопасности.
Наша команда по безопасности готова ответить на вопросы, рассмотреть проблемы или обсудить наши практики безопасности с корпоративными пользователями и исследователями.
